W świecie otaczającej nas technologii, możliwości łatwej komunikacji oraz pracy zdalnej przedsiębiorstwa coraz częściej decydują się na konfigurację służbowych aplikacji na telefonach prywatnych pracowników. Nikogo już nie dziwi posiadanie aplikacji Teams, OneDrive czy Outlook na urządzeniach mobilnych, z których to w każdej chwili możemy dołączyć do spotkania, czy odpowiedzieć na maila będąc w podróży pociągiem do innego miasta. Wystarczy tylko mieć dostęp do Internetu. Wszystko to sprawia, że praca staje się łatwiejsza, efektywniejsza i przyjemniejsza, a dodatkowo prawie zawsze mamy pod ręką „kawałek” firmy. Dla pracodawców to także świetne rozwiązanie, ponieważ nie muszą już utrzymywać floty telefonów służbowych, które generują koszty w postaci zakupu czy administracji.
Jednak co w przypadku, jeśli pracownik zgubi urządzenie, odda je do serwisu bądź komuś pożyczy? Takie sytuacje to potencjalny wyciek danych firmowych – służbowe wiadomości email, dokumenty czy poufne pliki przechowywane w chmurze.
Czy można temu zapobiec? Oczywiście!
W niniejszym artykule przedstawimy scenariusz BYOD -Bring Your Own Device dla urządzeń Android. Polega on na dostosowaniu prywatnego urządzenia pracownika do celów służbowych. Firma nie ponosi kosztów zakupu nowego urządzenia, a pracownik nie musi mieć przy sobie dwóch telefonów jednocześnie.
System Android w swojej specyfikacji udostępnia funkcjonalność o nazwie Work Profile (profil roboczy).
Wykorzystując system zarządzania urządzeniami, np. Microsoft Intune można uruchomić specjalny profil o nazwie Work Profile (profil roboczy) na urządzeniu Android, który izoluje dane i aplikacje służbowe od prywatnej części telefonu.
Na poniższym zrzucie ekranu widać implementację profilu roboczego za pośrednictwem systemu Microsoft Intune na telefonie Samsung. Po lewej stronie widoczne są w aplikacje w profilu osobistym Osobiste, a po prawej w profilu roboczym Praca. Aplikacje służbowe oznaczone są ikonką walizki.
Te same aplikacje mogą być zarówno instalowanie w profilu osobistym, jak i roboczym, lecz nie są one w żaden sposób ze sobą powiązane. Można mieć aplikację Outlook w obu profilach. W profilu prywatnym użytkownicy instalują ją sami. Natomiast w przestrzeni roboczej instaluje ją zdalnie administrator, bądź użytkownik może zainstalować ją samodzielnie ze służbowego Sklepu Play. Microsoft Intune posiada możliwość konfiguracji własnego, służbowego sklepu Play, w którym to administrator decyduje o możliwości instalacji danej aplikacji jednym przyciskiem.
Dodatkową możliwością w kwestii bezpieczeństwa jest możliwość wymuszenia hasła do samego profilu służbowego, innego niż ten do odblokowania telefonu. Dzięki temu pozostawiony odblokowany telefon nie daje możliwości podejrzenia służbowych wiadomości czy dokumentów.
Dzięki konfiguracji w Microsoft Intune można kontrolować zachowanie użytkownika, np. konfiguracja służbowego konta w aplikacjach może odbywać się tylko na telefonie z wdrożonym profilem. W ramach ustawień zwiększających bezpieczeństwo istnieje możliwość wyłączenia wykonywania zrzutów ekranu, czy kopiowania plików pomiędzy profilami.
Wykonywanie zabronionych czynności przez pracowników generują powiadomienia widoczne na telefonach.
Na pewno pojawia się pytanie – co z prywatnymi danymi pracownika? Czy administrator może uzyskać do nich dostęp? Nie ma takiej możliwości. Dzięki odpowiedniej konfiguracji w Microsoft Intune zachowana jest prywatność użytkownika, jednocześnie przy zachowaniu pełnego bezpieczeństwa danych organizacji. Kontakty prywatne także są od siebie oddzielone – zapisane kontakty prywatne pozostają prywatne, a kontakty służbowe są przechowywane wyłączenie w profilu służbowym.
Na poniższym zrzucie ekranu można zauważyć, że w przestrzeni prywatnej nie ma zapisanego kontaktu służbowego. W historii wiadomości SMS kontakt jest tylko widoczny jako ciąg korespondencji – oznaczony walizką, podobnie jak aplikacje.
Administrator może także usunąć zdalnie profil służbowy, bez naruszania prywatnych danych użytkownika. Daje to nam pełną kontrolę nad bezpieczeństwem danych w przypadku zgubienia bądź kradzieży telefonu.
Podsumowanie:
Scenariusz urządzeń Android BYOD jest idealną opcją w przypadku braku służbowych telefonów dla wszystkich pracowników. Zapewnia bezpieczeństwo danych firmowych bez naruszania osobistej przestrzeni użytkowników. Wdrożenie scenariusza jest także bardzo łatwe z perspektywy użytkownika – wystarczy pobrać aplikację Microsoft Intune, zalogować się kontem służbowym oraz ustawić odpowiedni PIN. Profil roboczy jest wspierany już od wersji 5.0 lecz minimalną zalecaną wersją jest Android 11.0.
Autor: Mateusz Stążecki, Azure Consultant
